WanaCrypt0r, une cyberattaque ‘sans précédent’

Depuis la journée de vendredi, près d’une centaine de pays ont subi des attaques cybercriminelles visant des milliers d’entreprises et administrations.

Depuis la journée de vendredi, près d’une centaine de pays ont subi des attaques cybercriminelles visant des milliers d’entreprises et administrations. Ce n’est que maintenant qu’on commence à comprendre les dégâts et l’ampleur de l’assaut qui vient d’avoir lieu.

Pour les victimes, cette attaque s’est traduite par une demande de rançon. Essentiellement, les criminels ont déployé WanaCrypt0r, un logiciel qui chiffre intégralement les données ciblées, les rendant illisibles pour la victime qui doit alors verser une rançon (généralement en Bitcoin) pour obtenir la clé de déchiffrement connue des seuls malfaiteurs.

Une attaque internationale

La liste des victimes est très longue et couvre de nombreux pays. La Russie, le Royaume-Uni, l’Espagne, le Portugal ou la Roumanie sont parmi ces victimes. La France est aussi concernée où le parquet de Paris a ouvert une enquête pour « accès et maintien frauduleux dans des systèmes de traitement automatisé de données », « entraves au fonctionnement » de ces systèmes, et « extorsions et tentatives d’extorsions ». Pour le moment, par son ampleur, par le nombre de sociétés et d’administrations concernées, cette attaque semble bien être la plus vaste connue à ce jour.

À l’étranger, cette attaque a notamment mis à genoux le système informatique de plusieurs hôpitaux publics en Angleterre, perturbant gravement le système de santé publique NHS (National Health Security) anglais, avec des conséquences parfois graves puisque, comme en témoigne un jeune médecin de l’hôpital de Londres, il devient impossible de faire des radios, élément pourtant essentiel de la médecine d’urgence, ou d’imprimer les bracelets d’identification des nouveaux-nés. Europol évoque une attaque informatique « d’un niveau sans précédent » et indique « collabore[r] avec les unités de cybercriminalité des pays affectés et les partenaires industriels majeurs pour atténuer la menace et assister les victimes ».

En France, des sites de production Renault, ciblés, sont maintenant à l’arrêt pour éviter la propagation du virus. Apparemment, le site de Sandouville en Seine-Maritime serait notamment concerné même si la direction n’a pas apporté de précision sur les sites touchés.

Une attaque pourtant facile à éviter

Pourtant, l’attaque aurait pu être prévenue. Le logiciel malveillant – qui, une fois installé, chiffre tout ou partie des données de la victime – se base en effet sur plusieurs failles qui sont maintenant toutes connues.

D’une part, les victimes ont essentiellement été infectées par deux vecteurs : le phishing et une infrastructure informatique en réseau pas suffisamment tenue à jour. D’autre part, il existe des correctifs pour la faille exploitée depuis déjà plusieurs semaines !

Le phishing (ou hameçonnage) est une technique menée, dans le cas qui nous occupe, par l’envoi d’un courrier électronique suffisamment bien fait pour obtenir de la personne visée qu’elle exécute certaines opérations apparemment bénignes sur sa machine, comme ouvrir un document texte (PDF, Word…). Normalement, la mise en place de politiques strictes de filtrage des pièces attachées des courriers électroniques, de politiques de sécurités sur les machines de travail de toutes les entreprises (privées ou publiques) permet sinon de garantir une totale étanchéité à ce genre de soucis, au moins une vigilance des utilisateurs et des alertes devant de telles tentatives qui sont, de nos jours, monnaie courante. À titre individuel, l’usager moyen ne devrait plus, de nos jours, ouvrir des attachements de provenance incertaine, ou installer des applications depuis une source non reconnue.

Quant à l’infrastructure réseau et les machines qui la composent, elle se doit d’être régulièrement mise à jour pour éviter l’accumulation de failles et de vulnérabilités. Là encore, même l’usager lambda dispose d’outils standards qui lui permettent de conserver son ordinateur, sa tablette ou son téléphone à jour pour tenir compte des correctifs de sécurité émis par les fournisseurs. Or, dans le cas du NHS par exemple, un rapport de décembre 2016 rapporté par The Guardian montre que « presque tous les établissements du NHS utilisaient une version obsolète du logiciel Windows » dont les dernières mises à jour de sécurité remonte à avril 2014. Autant dire pour le monde informatique : une éternité.

Enfin, on pourra noter que, dans bien des cas, la restauration de données non-chiffrées à partir de sauvegardes récentes et lisibles semble poser des problèmes, ce qui en dit long sur les plans de contingence en cas d’incident que ces institutions ont mis en place. Là encore, de gros efforts semblent indispensables, surtout lorsque des vies sont en jeu.

Une attaque basée sur… un outil de la NSA

Fait plus grave encore : l’attaque se base sur l’exploitation d’une faille mise à jour il y a quelques semaines par ShadowBrokers, un groupe de hackers qui avaient fait fuiter des outils utilisés par la National Security Agency (NSA) américaine.

Autrement dit, ces outils permettent à l’agence d’espionnage américaine d’infiltrer aisément des ordinateurs cibles et utilisent pour ce faire différentes techniques dont l’une est basée sur une faille présente dans la version Microsoft de logiciel gérant le protocole réseau SMB. Or, depuis que cette faille est connue suite à la publication de ces outils, Microsoft avait largement publié les correctifs logiciels à appliquer sur toutes ses versions encore supportées de son système d’exploitation Windows. Charge à ses clients de tenir à jour les machines concernées, soit manuellement, soit automatiquement via le service Windows Update disponible en standard dans son système d’exploitation.

Cette attaque aux conséquences déjà graves et coûteuses impose de tirer des leçons sur la façon dont la plupart des pays industrialisés mettent en place de véritables cyber-armes, basées sur l’exploitation de ces failles dites « zero-day », c’est-à-dire inconnues des fournisseurs et développeurs de logiciels, et conservées secrètes pour servir les intérêts nationaux… Jusqu’au moment où ces failles finissent par fuiter et se retourner contre ceux qui les recherchent, les cultivent et les gardent secrètes. En l’occurrence, il est difficile de ne pas faire un parallèle entre cette catastrophe informatique et le développement de gaz neurotoxiques ou les menaces biologiques (virales ou bactériennes) dont les effets peuvent facilement se retourner contre ceux qui les ont créées.

Les citoyens et les contribuables qui ont maintenant à gérer les conséquences fort désagréables de ces chiffrements sauvages et des rançons afférentes sont en droit de demander des comptes à ces agences qui ont, en premier lieu, développé ces cyber-menaces au lieu de comprendre que la sécurité passe avant tout par l’amélioration continue des systèmes, amélioration continue qui nécessite une saine concurrence et la transparence à tous les niveaux.